Aumentar el conocimiento de vulnerabilidades OWASP Top 10 de su organización es siempre una buena cosa. Si bien puede utilizarlo como una guía de capacitación dentro de la plataforma SCW, no tiene que ser la característica definitoria de todo su programa de capacitación en seguridad.
Además de trabajar en el Top 10 de OWASP, también puede adaptar los programas de formación para centrarse en las debilidades específicas dentro de su organización. De hecho, ese es un camino que recomendamos para ayudarle a obtener el máximo valor del uso de la plataforma Secure Code Warrior®.
Hay algunas maneras de ayudarle a hacer esto rápidamente con el feliz efecto secundario de aumentar las habilidades de seguridad de desarrollo para sus propias aplicaciones.
Torneos
Los torneos contribuyen en gran medida a crear una experiencia de aprendizaje positiva que facilita una mejor retención de los conocimientos y el entusiasmo por la formación. No son sólo para el comienzo de su viaje de concienciación sobre la seguridad; pueden tener lugar regularmente para reforzar el compromiso y comprobar el progreso.
Los torneos pueden ayudar:
- Definir cualquier vulnerabilidad específica de la empresa o del equipo
- Identificar a los campeones de la seguridad dentro de los grupos de desarrolladores
- Proporcionar información a los desarrolladores sobre sus puntos fuertes y débiles.
- Formar un ejercicio de creación de equipos
- Crear una sensación de diversión y competencia para abordar puntos débiles de seguridad específicos
Por lo general, los retos se basarán en el Top 10 de OWASP o en las prioridades de seguridad específicas de la empresa, si las conoce. Si aún no las conoces, los resultados del torneo pueden ayudar a determinar si hay algún patrón que apunte a debilidades específicas de la empresa, ya sea basado en ciertas aplicaciones o lenguajes. Esto debería darte una idea de por dónde empezar a construir tu programa de formación.
Otra ventaja de los torneos es que cualquiera puede participar. No tienen por qué ser sólo los equipos de desarrollo. Son una gran oportunidad para dar a cualquier persona de tu organización la oportunidad de ver todo lo que se necesita para crear un código seguro. Incluso aquellos con una exposición limitada al código pueden tener la oportunidad de enfrentarse a algunas vulnerabilidades comunes y aprender a solucionarlas.
Campeones de seguridad
Los campeones de seguridad ayudan a promover una cultura de seguridad positiva dentro de los equipos de desarrollo. No todas las empresas deciden poner en marcha un programa de campeones, pero hemos observado resultados mucho mejores en las que sí lo hacen. Es un decir.
¿Qué es un campeón de seguridad? Son
- Apasionados por la seguridad
- Deseosos de compartir nuevos conocimientos del sector
- Buenos comunicadores
- Interesados en mejorar sus conocimientos de programación segura (propios y ajenos).
- Alguien que quiere dar un paso adelante y obtener reconocimiento
Estas superestrellas ya se encuentran entre las filas de los equipos de desarrollo a la espera de ser descubiertas.
Nota : Si esto le suena a usted, póngase en contacto con su jefe de equipo o administrador para saber cómo puede marcar la diferencia. Sea el cambio que quiere ver en la seguridad de las aplicaciones.
Los torneos también pueden ayudar a revelar los Campeones, dándoles la oportunidad de motivar a sus compañeros, así como demostrar su destreza en seguridad en la tabla de clasificación.
Cuando observe desarrolladores especialmente fuertes o apasionados por la seguridad, considere la posibilidad de proponerles que se conviertan en campeones de seguridad.
Desempeñan un valioso papel en la mejora de las habilidades de codificación segura:
- Ayudando a identificar vulnerabilidades en sus equipos
- Animando a sus compañeros a participar en torneos, formación y evaluaciones.
- Buscando opiniones de los equipos e informando a los jefes de programa.
- Organizando minitorneos para centrarse en las prioridades de seguridad de los equipos.
Con unos Campeones de Seguridad sólidos en el equipo, todo el mundo puede esperar un mayor compromiso y positivismo general en materia de seguridad a nivel de base, donde más importa.
Formación interactiva gamificada en lenguajes que importan
Los desarrolladores son personas ocupadas que están constantemente bajo presión para ofrecer soluciones excelentes y funcionales. La codificación segura, por mucho que nos guste, no se enseña a menudo cuando los desarrolladores están aprendiendo su oficio. Nuestro objetivo es cambiar la concienciación sobre la seguridad reto a reto con un enfoque competitivo, interactivo y divertido de la formación.
Algunas de las plataformas de aprendizaje más eficaces tienen aspectos lúdicos con elementos familiares como ganar puntos, recoger insignias y encabezar la clasificación.
Las plataformas de formación deben centrarse en habilidades específicas y, al mismo tiempo, animar a los desarrolladores a seguir aprendiendo y mostrarles cómo adoptar una mentalidad de codificación segura.
- Los desarrolladores deben poder trabajar con código real y en su propio lenguaje o marco de trabajo.
- Los retos deben ser breves y abarcar todas las vulnerabilidades.
- Los retos deben ampliarse y actualizarse constantemente para que los desarrolladores puedan seguir desarrollando sus habilidades con el tiempo.
- Los retos deben variar en complejidad para que sean atractivos tanto para los desarrolladores veteranos como para los menos experimentados.
- Los desarrolladores y los responsables deben poder ver su progreso, incluidos los retos que han completado, sus puntos fuertes y débiles, el tiempo dedicado a la formación y su precisión general.
La plataforma Secure Code Warrior incluye el Top 10 de OWASP que se divide en cuatro secciones que se centran en las vulnerabilidades más críticas, hasta las muy comunes, junto con algunos desgloses más específicos.
Para los desarrolladores, la formación es el verdadero factor clave que contribuye a la mejora de las competencias. La sección Mission Control de la plataforma cuenta con una serie de formas de formación que utilizan diferentes lenguajes y se centran en distintos tipos de vulnerabilidades.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.